Как обычно выглядит сделка по продаже подержанного автомобиля? Продавец и покупатель подписывают договор, покупатель передает или перечисляет деньги, получает ключи от машины и уезжает. Продавец при этом окончательно и бесповоротно прощается со своей «ласточкой». Чем будет отличаться сделка по продаже т. н. подсоединенного автомобиля? Чарльз Хендерсон, глава подразделения X-Force Red в IBM Security, небезосновательно отмечает, что у продавца может сохранить на многие годы возможности удаленного доступа к проданной машине. «„Умный“ подсоединенный автомобиль недостаточно умен, чтобы понимать, что его продали. А это уже может привести к проблемам», — сказал он на недавней RSA Conference 2017.

Проблема, по его словам, заключается в том, что будучи новым автомобиль был поставлен на сервисное обслуживание, а значит к нему был организован доступ посредством некоего мобильного приложения, связанного с неким облачным решением. И если пользователь может удалить мобильное приложение, то с облачной частью все куда сложнее: возможность удалить ее или реорганизовать доступ к ней ему недоступна, для этого требуются усилия сервис-центра. IBM Security уже удалось обнаружить уязвимости в системах отзыва прав доступа пользователей вендоров автомобилей и «умной» бытовой электроники. Хендерсон отказался назвать их имена, но отметил, что это носит «повсеместный» характер и что он стремится привлечь внимание к проблеме.

Задачу организации управления облачной частью IoT он считает непростой по ряду причин. «Вторичный рынок уже не приносит вендору прибыли, поэтому у него нет стимула защищать второго владельца IoT-устройства, — сказал Хендерсон. — Я не утверждаю, что управление идентификацией решит все проблемы, но мы еще очень мало сделали для защиты бытовой электроники».